Les retombées dramatiques se poursuivent dans l’exploitation massive d’une vulnérabilité critique dans un programme de transfert de fichiers largement utilisé, avec au moins trois nouvelles victimes découvertes ces derniers jours. Il s’agit notamment du ministère de l’Éducation de la ville de New York et des sociétés énergétiques Schneider Electric et Siemens Electric.
À ce jour, la frénésie de piratage semble avoir piraté 122 organisations et obtenu les données d’environ 15 millions de personnes, sur la base des messages publiés par le groupe criminel ou des révélations des victimes, a déclaré Brett Callow, analyste des menaces à la société antivirus Emsisoft, dans une interview. .
Microsoft a lié les attaques à Clop, un syndicat de rançongiciels russophone. Les hacks sont tous le résultat de l’exploitation par Clop de ce qui était une vulnérabilité de type « zero-day » dans MOVEit, un service de transfert de fichiers disponible dans les offres cloud et sur site.
Les premiers signes de la frénésie d’exploitation se sont produits le 27 mai. Quatre jours plus tard, le fournisseur MOVEit, Progress, a corrigé la vulnérabilité, qui est suivie comme CVE-2023-34362. Le jour zéro découlait d’une injection SQL. Celles-ci font partie des formes de vulnérabilité les plus anciennes et sont le résultat de mauvaises pratiques de codage évitables. Même après que Progress ait publié le correctif, certains utilisateurs de MOVEit ont continué à se faire pirater car ils ne l’avaient pas encore installé sur leurs réseaux.
Parmi les premières victimes confirmées figuraient le service de paie Zellis et la province canadienne de la Nouvelle-Écosse. Les clients de Zellis, British Airways, la BBC, Aer Lingus, le HSE irlandais et le détaillant britannique Boots, étaient tous connus pour s’être fait voler des données en raison de la violation du service de paie. D’autres victimes ont rapidement été découvertes, dont deux entités du ministère de l’Énergie, les États américains du Missouri et de l’Illinois, l’American Board of Education Extreme Networks et l’Ofcam.
Publicité
Les données de permis de conduire de millions de citoyens de l’Oregon et de la Louisiane ont également été volées lors des attaques. CNN a signalé que le ministère de l’Agriculture pourrait également être touché.
Les chaussures continuent de tomber
Mardi, le site Clop a désigné Siemens Electric comme une autre victime, et peu de temps après, cela a été largement rapporté, les responsables de l’entreprise ont confirmé que ses systèmes avaient été piratés lors de la campagne Clop.
“Sur la base de l’analyse actuelle, aucune donnée critique n’a été compromise et nos opérations n’ont pas été affectées”, a déclaré un représentant de Siemens Electric aux médias, dont Cyberscoop. “Nous avons pris des mesures immédiates lorsque nous avons appris l’incident.” Les tentatives d’Ars pour joindre Siemens Electric n’ont pas abouti.
Clop a désigné Schneider Electric comme une autre victime. Dans un e-mail, un responsable de Schneider Electric a écrit : « Le 30 mai 2023, Schneider Electric a pris connaissance de vulnérabilités affectant le logiciel Progress MOVEit Transfer. Nous avons rapidement déployé les mesures d’atténuation disponibles pour sécuriser les données et l’infrastructure et avons continué à surveiller de près la situation.
Samedi soir, le chef du département de l’éducation de la ville de New York s’est avancé pour dire qu’il avait également été touché lors de la campagne Clop.
“L’examen des dossiers concernés est en cours, mais les résultats préliminaires indiquent qu’environ 45 000 étudiants, en plus du personnel du DOE et des prestataires de services connexes, ont été concernés”, a écrit Emma Vadehra, directrice de l’exploitation du département. « Environ 19 000 documents ont été consultés sans autorisation. Les types de données concernées comprennent les numéros de sécurité sociale et les numéros d’identification des employés (pas nécessairement pour toutes les personnes concernées ; par exemple, environ 9 000 numéros de sécurité sociale ont été inclus). »
Clop est un groupe russophone qui compte parmi les acteurs de ransomwares les plus prolifiques et les plus actifs. L’acteur de la menace a récemment exploité en masse CVE-2023-0669, une vulnérabilité critique dans un autre service de transfert de fichiers connu sous le nom de GoAnywhere. Cette frénésie de piratage a également coûté la vie à plus de 100 organisations, dont la société de sécurité des données Rubrik et Community Health Systems de Franklin, Tennessee. Le piratage de Community Health Systems, l’une des plus grandes chaînes d’hôpitaux, a permis à Clop d’obtenir des informations sur la santé d’un million de patients.